Hier auch ein Virus Burst - PornMag Pass

Thema ist geschlossen!
Thema ist geschlossen!
#0
18.09.2006, 09:56
...neu hier

Beiträge: 5
#1 Also die symtome, wie bei den anderen aber entfernen konnte ich es nicht auf die gleiche weise.
Hier das HiJack file:


Logfile of HijackThis v1.99.1
Scan saved at 09:37:12, on 18.09.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\PornMag Pass\isamonitor.exe
C:\Programme\PornMag Pass\pmsngr.exe
C:\WINNT\System32\igfxtray.exe
C:\Programme\PornMag Pass\isamini.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\PornMag Pass\pmmon.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINNT\system32\NWTRAY.EXE
C:\WINNT\system32\internat.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\romana\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.baier-technik.at/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.8.254:8080
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\PornMag Pass\isaddon.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [HPIJetSend] C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_JetSend.exe
O4 - HKLM\..\Run: [CXMon] "C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1004954.exe
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINNT\system32\syycum.dll
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINNT\system32\cusrvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Wäre nett, wenn mir jemand helfen könnte...
Seitenanfang Seitenende
18.09.2006, 09:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\PornMag Pass" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.09.2006, 10:01
...neu hier

Themenstarter

Beiträge: 5
#3 Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 280A-807D

Verzeichnis von C:\Programme\PornMag Pass

16.09.2006 16:09 <DIR> .
16.09.2006 16:09 <DIR> ..
16.09.2006 16:02 25.088 iesplugin.dll
16.09.2006 16:02 9.216 iesuninst.exe
18.09.2006 09:45 13.312 isaddon.dll
18.09.2006 09:45 5.120 isamini.exe
16.09.2006 16:02 28.672 isamonitor.exe
16.09.2006 16:02 9.728 isauninst.exe
16.09.2006 16:02 4.286 ot.ico
18.09.2006 09:45 2.432 pmmon.exe
16.09.2006 16:02 10.872 pmsngr.exe
16.09.2006 16:02 9.728 pmuninst.exe
16.09.2006 16:02 4.286 ts.ico
11 Datei(en) 122.740 Bytes
2 Verzeichnis(se), 36.588.048.384 Bytes frei
Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 280A-807D

Verzeichnis von C:\Programme

30.05.2005 15:16 <DIR> Microsoft Visual Studio
31.05.2005 08:07 <DIR> NetMeeting
16.02.2006 09:03 <DIR> Outlook Express
16.09.2006 16:09 <DIR> PornMag Pass
30.05.2005 15:14 <DIR> Snapshot Viewer
31.05.2005 09:49 <DIR> Tobit InfoCenter
18.09.2006 09:13 <DIR> Virus-Burst
28.09.2005 08:40 <DIR> WexTech
30.05.2005 12:42 <DIR> Windows Media Player
30.05.2005 12:43 <DIR> Windows NT
31.05.2005 08:06 <DIR> WinZip
30.05.2005 08:33 <DIR> Zubeh”r
0 Datei(en) 0 Bytes
29 Verzeichnis(se), 36.588.048.384 Bytes frei
Seitenanfang Seitenende
18.09.2006, 10:13
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Brandi

Anleitung:
http://virus-protect.org/artikel/spyware/pornmagpass_remove.html

ueber Media-Codecs gelangt der Zlob-Trojaner auf den Rechner, man laedt gleichzeitig andere Malware mit runter, und wird durch PopUps (Security Alert: Spyware found) aufgefordert, angebliche Virenscanner zum Entfernen der Schadware zu kaufen.

-----------------------------------------------------------------------

1.
mediacodec.zip laden
http://virus-protect.org/zip/mediacodec.zip
entpacken auf dem Desktop -> mediacodec.reg ->doppeltklicken und der Registry mit "ja/yes" beifügen

2.
gehe in die Registry
Start - Ausfuehren - regedit
bearbeiten - suchen - syycum.dll

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

loeschen
hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINDOWS\system32\syycum.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

loeschen
{6076d2b1-634c-4685-843b-f826045ea5dc}

---------------------------------------------------------------
3.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{00B3D2B1-1EAD-4611-A348-9ECBC4C565A7}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{728E63B0-5165-4E98-9C83-EF987EEB66C9}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6076d2b1-634c-4685-843b-f826045ea5dc}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{202a961f-23ae-42b1-9505-ffe3c818d717}

Files to delete:
C:\WINNT\system32\syycum.dll

Folders to delete:
C:\Programme\Virus-Burst
C:\Programme\PornMag Pass
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

4.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\PornMag Pass\isaddon.dll
O3 - Toolbar: (no name) - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - (no file)
O21 - SSODL: hemadynamometer - {6076d2b1-634c-4685-843b-f826045ea5dc} - C:\WINNT\system32\syycum.dll
5.
scanne mit smitfraud
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.09.2006, 10:32
...neu hier

Themenstarter

Beiträge: 5
#5 Habe alles so gemacht, die Symtome sind weg. Das ist der scanbericht mit SmitFraudFix:


SmitFraudFix v2.91

Scan done at 10:31:05,84, Mo 18.09.2006
Run from C:\Dokumente und Einstellungen\brandst\Desktop\SmitfraudFix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\brandst\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\brandst\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop

C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url FOUND !
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End




War`s das? Ist jetzt alles runter?
Seitenanfang Seitenende
18.09.2006, 10:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ja, es ist alles wieder o.k. ;)
loesche das backup vom Avenger unter c:\Avenger\backup.zip

--------------

noch mal in der Registry nachsehen:

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" ( reinkopieren)

PornMag Pass
Virus-Burst
hemadynamometer


in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.09.2006, 10:42
...neu hier

Themenstarter

Beiträge: 5
#7 REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 18.09.2006 10:41:37 for strings:
; 'pornmag pass
virus-burst
hemadynamometer
pornmag pass'
; 'virus-burst'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C17EB50A-667E-43B4-A53E-5B73F46AA009}\1.0\0\win32]
@="C:\\Programme\\Virus-Burst\\Virus-Burst.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C17EB50A-667E-43B4-A53E-5B73F46AA009}\1.0\HELPDIR]
@="C:\\Programme\\Virus-Burst\\"

; End Of The Log...
Seitenanfang Seitenende
18.09.2006, 10:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Avenger

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C17EB50A-667E-43B4-A53E-5B73F46AA009}

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.09.2006, 10:58
...neu hier

Themenstarter

Beiträge: 5
#9 Danke dir vielmals, und schöne Grüße aus Salzburg!!!!

PS: Dein PayPal link funktioniert nicht...
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: